Cat de sigur este Online Banking ?!

orban, nu e vb de instalat app nesigure, e vb sa instalat troien intrand pe site-uri, ce stii ce contin n linkuri ? Catre un articol, catre nu stiu ce, accept cookies, etc.
Nu e normal sa platesc 50 bani ptr ceva ce era normal sa existe, default trebuia sa primesti sms cu cod ptr orice tranzactie si cu cardul, de ce nu trimite cand faci plati online ? Cand iei de la emag, o app de pe smart, o arma la un joc.
Ca la lumina cand platesc sau cand incarc cartela de tel cu cardu, imi vine cod pe sms. Fara ala nu se face tranzactia.

MinettoMatoi, on 21 iunie 2020 - 23:58, said:

Este un device mic cu tastatura + ecran + baterie care stocheaza cheia privata si genereaza pe baza ei parole/ semnaturi digitale unice (si care depind de timp, ca intern are si un ceas). Aceste din urma coduri, care NU sunt refolosibile si au viata extrem de scurta (de exemplu 36 de secunde) sunt cele care autorizeaza login-ul sau operatiile.

Si el are tot un PIN care nu expira, utilizat pentru a avea acces la functiile lui. Insa pe acest device nu poti instala nici un software de nici o culoare si nu are ‘conexiuni’ cu exteriorul asa ca nu poate fi atacat, nu poate exista un keylogger care sa inregistreze PIN-ul, etc, etc.

Ca exemple:

• Cel[e] de la BCR <https://www.bcr.ro/c...zitiv_token.pdf>. Primul este modelul vechi care costa 3LEI/luna, al doilea nu l-am vazut niciodata deci probabil e modelul nou 10LEI/luna. La primul meu token, model vechi, bateria a tinut peste 10 (zece) ani.
  
• Cel curent dat de CEC Bank <https://www.cec.ro/s...ken_card_ib.pdf>. Fara cost lunar suplimentar, dar trebuie sa il cumperi cu 100LEI. Durata nominala de viata a bateriei e de 3 ani; daca se termina bateria mai mult ca sigur alti bani alta distractie.

orbanbalint, on 22 iunie 2020 - 08:45, said:

Fals. Pe gsmarena.com:

• Cu ‘Year: 2015…max’ si ‘OS: Android’ ai 2752 rezultate
  
• Daca mai adaugi si ‘Fingerprint: Yes (any type)’ mai raman 1468, adica doar aproximativ jumatate.

Doar nu o sa spui ca restul de jumatate au ‘Face ID’…

In rest, considerentele tale despre troieni si instalare aplicatii pe Android sunt ok dar numai in teorie. Trebuie sa fii extrem de naiv sa ai impresia ca in practica nu exista erori exploatabile care pot permite acces altfel nepermis si mai ales nedorit… Chiar tu vorbesti de root-are. Pai asa ceva nu exista ‘by design’, ci se face exploatand astfel de erori.

O idee gresita ai si depre detectarea root-arii. Acele aplicatii care ‘nu merg’ pe telefoane root-ate verifica existenta unor anumite alte aplicatii (dupa nume, semnatura fisiere, etc) cunoscute ca fiind instalate pentru a exploata drepturi de root. Asa se face ca poti ascunde root-area si tot asa apar si alarme false (refuz de functionare pe motiv de root, fara ca telefonul sa fi fost root-at).

Edited by sags, 22 June 2020 - 12:43.

MinettoMatoi, on 22 iunie 2020 - 12:20, said:

Nu poți instala troieni intrând pe siteuri. Pe telefoane smart Android sau iOS pentru orice instalare telefonul are nevoie de acordul tău. iOS sau Android nu e Windows XP, unde orice virus a putut fi instalat fără să știi.
În legătură cu cookies: fiecare site folosește cookies, sunt ceva setări ce rămân în browserul telefonului, nu are legătură cu restul aplicațiilor. Fiecare aplicație e în așa numita sandbox, adică sunt complet izoliați. O explicație mai bună e aici, în engleză:
„Android applications run on a VM (Virtual Machine), and are completely isolated one from another due to the permissions Android gives each app. Basically each application on android is a separate user, and they have their own space on the "disk". That means Applications cannot access each other's space, Cannot uninstall or mess with each others data.
Only one user has access to OS and all applications, it's the root. So when people "root" their phone, they basically get root permissions, and can mess with every application including system services and libraries” Această afirmație e din 2016, mult s-a schimbat de atunci, în bine, mai ales din punct de vedere al securității, dar în general, aplicațiile Android funcționează pe același principiu și azi.
Dacă chiar ești atât de paranoid, poți să-ți iei un iPhone, acolo se știe că pun foarte mult accent pe securitatea datelor + există și Apple Pay.
Și înapoi la notificări: am mai scris, în George ai push notifications, adică primești notificări pe telefon despre orice tranzacție mai mare de 1 leu, nu te costă nimic. Dacă vrei să primești SMS, te costă. Asta e politica BCR, nu-ți place, asta e. Sunt multe bănci pe piață care oferă și SMS inclus.
Dar dacă te referi la SMS cu parola 3D secure, atunci e clar că nu primești după fiecare tranzacție. Ai scris un exemplu, că cumperi ceva armă într-un joc. Cum ar fi că tu când joci ar trebui să ieși de fiecare dată din joc, să te uiți la SMS, înapoi în joc, introduci parola, să aștepți să termină tranzacția și doar apoi să continui jocul? Nici Play Store, nici App Store, nici Netflix, nici Spotify, nici Uber, nici Bolt nu cere parolă OTP (one time password) după fiecare trancacție. Netflix și Spotify iau banii în mijlocul nopții. Vrei sa te trezeși în noapte să introduci parola în aplicație să poți folosi încă o lună?
În legătură cu plățile contactless: când anul trecut a intrat în vigoare PSD2, a fost acolo ceva regulă, că după cinci tranzacții contactless POS-ul îți cere PIN-ul, indiferent de sumă. Despre asta nu știu mai mult, că de când există Apple Pay eu plătesc doar cu telefonul, decu nu pot să vorbesc din experiență.

Edited by orbanbalint, 23 June 2020 - 10:58.

Dupa cinci tranzactii contactless cere pinu ? Adica dupa ce mi-a furat hotul cardului (pana sa ma prind ca l-am pierdut) 500 lei ? Sau daca-l piers si il gaseste cineva. E comic ma. Macar la magazine trebuia sa ceara pinul pentru orice suma, adica la plata fizica cu cardul.
De ex prietenu  meu si-a pierdut cardul la Mega Image ! Si-a dat seama dupa 2 ore ca l-a pierdut. S-a dus repede si l-a recuperat, il pastrase aia de la casa, norocu a fost ca nu s-a folosit nimeni de el, avea mii de euro pe el. Facea plati de 500 lei pe rand cine il gasea, facea si plati online si aia era.
Era la mine si a zis "AOLEU, cardu...l-am pierdut".

Atunci ptr app online e bine sa se stearga nr ala de 3 cifre de pe spate si s-a rezolvat, desi si ala trebuia macar 4 sa aiba.
Nu e vb de paranoia, e vb ca daca ai muncit ani de zile ptr niste bani, si se intampla ceva si ii pierzi, dupa aia nu mai ai ce face, dupa aia apar regrete ca nu s-a interesat omul ala.
Sa se intereseze de cele doua mari posibilitati:
1 - ceva pe tel care logheaza pasul (chiar daca el aparent nu se pastreaza), sau ceva prin care celalalt acceseaza aplicatia pe tel omului si face tranzactii fara sa apara pe ecran ca app e deschisa. Adica fara sa ai ferestrele deschise, tu nu stii, si zici ca e okey. Si cand intri constati ca din 3000 E, mai ai 1 euro.
2 - I se fura sau pierde telefonul (si de multe ori dureaza ore pana te-ai prins ca nu mai ai telefonul), celalalt intra in aplicatie si face ce vrea acolo, si acolo nici macar nu e vb doar de card, acolo e vb direct de conturi.

1 . E  un pui de SF
2 . telefoanele au de obicei deblocare cu parola PIN / desen grafic / amprenta... Deci nu ajunge la aplicatiile bancare sau sa plateasca contactless cu telefonul fara deblocare..

Toti va dati doctori ca stiti de pe google, pana cand apare unu care ramane cu ochi-n soare.
Dupa aia sunteti cuminti, nu mai ridicati ciocu,

E ca la mine la munca de vin astia cu un soft nou de securitate "perfect" care are conflicte cu inca 2 programe pe care le folosesc curent,
Nu mersi, cel mai comod pentru mine e credit cardul si cat mai putin sa fac tranzactii cu banca on-line
O stiti p-aia cu "paza buna"
Ei, eu o aplic

MinettoMatoi, on 23 iunie 2020 - 13:31, said:

Tot ce descrii tu acolo e sci-fi. Înainte de PSD2 ai putut face plăți nelimitate sub 100 de lei fără să ceară PIN. Dacă cineva găsește cardul și folosește pentru plăți în magazine e problema lui. Tu suni la bancă, blochezi cardul și ceri refuz de plată și primești banii înapoi. Iar plăți online nu prea poate să facă fără parola ce este trimisă pe telefonul tău. Dacă se fură telefonul, atunci are nevoie de PIN sau amprenta/fața ta să deblocheze.
Băncile au lansat aplicațiile de mobile banking și plăți mobile pentru că știu că telefoanele smart sunt safe, mai ales de când se cere parole OTP pentru a log în internet banking, tot datirotă reglementării PSD2. Acum te poți loga numai cu o parolă dinamică, generată de un eToken, Token fizic sau primit prin SMS de la bancă.

parola e aceiasi mereu ! Nu e deloc dinamica la BCR george. Doar la activarea soft iti dau ei trei chestii diferite care expira, dupa aia bagi acelasi pas, si intri in aplicatie fara probleme.
Cum nu poate face plati online fara parola trimisa, faci cumparaturi fara prob, baga tu cardu si ia jocuri, app pe smart sa vezi ca nu cere nici o parola, cere doar datele cardului. Poate e bine sa nu ai codul de 3 cifre pe spate, atunci da.
Eu am cumparat de la emag de 800 lei, a tras din card fara sa trimita nici un pas.

Cu pasu la tel mda, eu nu am nici un pas ca imi e incomod sa bag mereu pasu la intrare, dar e bine sa pun totusi.

MinettoMatoi, on 23 iunie 2020 - 13:31, said:

Ma mir ca nu ai taiat cardul ala de cand l-ai primit.
De ce-l pastrezi ?
De ce te rogi sa fii fraudat ?

Am refuzat card contactless la reinnoire acu ceva ani, acu mi-am dat seama ce e o prostie si l-am acceptat.
Nu folosesc carduri credit, doar debit

Edited by keta, 25 June 2020 - 00:57.

pai eu am de debit, pai e f bine sa platesc online de acasa tot, cum dracu ? Intretinere, lumina, telefon, cumparaturi, vad ce am in cont cu banking-u.

MinettoMatoi, on 24 iunie 2020 - 20:19, said:

Tu confuzi George cu eToken, în George nu te poți loga cu parolă statică. Dacă ai telefon cu cititor de amprente poți seta să te loghezi cu amprenta. Pentru activarea eToken banca îți dă trei coduri separate, nu pentru George. Intrarea în eToken se faci ori cu un cod PIN ori cu amprenta. Și în token fizic te loghezi doar cu un cod PIN. Etoken e varianta digitalizată a tokenului, și atât.
Nici nu mai știu de ce încerc să-ți explic chestii, de parcă aș vorbi cu moșul comunist din poza ta de profil. Ți-am explicat deja: app store nu cere parolă 3D secure, pentru că așa este setată app store-ul și așa este logic. În timpul unui joc dacă vrei să cumperi ceva, tu ai vrea să ieși mereu din aplicație să tastezi codul primit? Datele tale sunt salvate în siguranță în App Store. Dacă nu-ți place așa, atunci nu mai salvezi cardul, e simplu. Poți să plătești pentru chestii din app store și prin factură de mobil. Cel puțin la Orange e posibil.
În legutură cu cumpărături online, dacă comerciantul nu implementează 3D secure, atunci nu va cere cod prin SMS. Nu are absolut nimic de a face cu banca. Dacă nici emag nu cere SMS, atunci vorbește cu ei. La emag poți salva cardul în cont și să faci plăți cu un singur click, la fel este si la Amazon.
Și cu pasul pe tel: dacă nu vrei să securizezi telefonul, de ce aștepți de la dezvoltatorii să-ți protejeze datele, când tu nu ești în stare să faci primul pas în a ține oamenii departe de datele tale?

Singura plata pe care o fac cu debit cardul ... nu este nici una.
Platesc doar cheltuielile lunare PRIN BANCA, adica intru pe site-ul bancii si de acolo le spun alora ce bani se duc in ce cont.
Restul cardul de credit.
Am mai spus motivul.
Daca ma fraudeaza careva in contul de debit, banii nu-i mai am si trebuie sa ma ingrijesc eu sa ii recuperez, daca fraudarea e pe credit card, e mult mai simplu: efectiv scriu un raport si nu recunosc tranzactia respectiva. EI se ocupa de frauda, sau inghit pierderea

murdar, on 18 iunie 2020 - 10:05, said:

Iti scoti periodic extrase de cont unde se vad clar sumele, depozitele si ti le salvezi pe calculator, stick, hard extern si 2 CD-uri.
Solutii exista.

On topic : nici eu nu am avut nicio problema cu nicio tranzactie si nu mi-a disparut niciun leu pana acum. Vorbim de o perioada de cel putin 12-13 ani de carduri si vreo 8-9 de internet banking. Folosesc 3 banci cu 3 aplicatii diferite si securitatea a fost ok pana acum.

Tsunnnami, on 19 iunie 2020 - 16:11, said:

Foarte probabil ca acele credit cards sa aiba mult mai multe beneficii si sa fie mai ok ca in Romania.
Cum tii evidenta la ce ai de plata la final de luna si cum faci platile ? Tot prin internet banking, transfer, sau prin depunere de numerar, alimentare conturi la banca ?
Mai ales ca ai zis ca ai 15 carduri (mi se par f multe), cum tii evidenta si cum le achiti cavsa ajungi pe zero la final de luna ?

Magicwisewolf, on 08 octombrie 2020 - 20:48, said:

Nu-s multe sunt FANTASTIC de multe

S-o luam pe rand:
Una data de un stare de cauciucuri
Una luata pentru ca imi asigura asigurare auto cand vin in Europa
Vreo 2 din Canada
Una pentru travel (e buna cand merg in Canada sau Europa la rata de schimb
Una de la banca de-mi da ceva cash inapoi, luata cand am deschis contul
Una la Amazon
una luata de la noua banca la care am alt cont, ca am de facut artificii cu banii care-i trimit in Romania pentru proprietati
un american express

Asta e din ce-mi amintesc.

Din toate astea, in portofel port Americn Express, ca-mi da inapoi 3% cash, Visa de la banca cu cash back pentru cazul in care nu-mi accepta AE, si Visa de travel, just in case
In fiecare luna sa zicem ca am pe VIsa cash back vreo $50 de platit si vreo $2,000 - $4,000 pe American Express, in rest nu folosesc.
Cred ca saptamanal arunc la gunoi propuneri de alte credit carduri.
Majoritatea sunt in seiful contra incendiu cu alte acte esentiale

Da, orice card e deschis cu un scop.
De exemplu la cauciucuri mi-au dat $50 daca platesc cu cardul nou la care am aplicat chiar atunci